Le 12 mai, une vaste attaque informatique a paralysé de nombreux sites dans le monde entier. En tout, 200 000 victimes, la plupart des entreprises, et près de 150 pays ont été touchés. Le Liban ne fait pas exception :
la Banque centrale semble avoir, elle aussi, subi une attaque du virus WannaCry. Des informations ont même fait état d’un arrêt de ses services Intranet. Ce qu’a nié ensuite la BDL. Entretien avec Christian Karam, directeur des services de cyberrenseignements de la banque d’investissements UBS AG.

Qu’est-il arrivé à la Banque du Liban exactement ?
On attend toujours des précisions : on ne sait pas si la Banque centrale a été directement touchée par l’attaque ou bien si les perturbations signalées relevaient des mesures de protection, que la banque a déployées, pour prévenir tout incident. Dans un premier cas, cela signifie que le virus a infecté le réseau informatique de la Banque centrale avec succès, bloquant a minima certains de ses ordinateurs. Dans le second cas, cela veut dire que la BDL s’est rendu compte de sa vulnérabilité face à la propagation du virus, son équipe fermant alors plusieurs services Internet afin de protéger ses actifs.
Comment la BDL a-t-elle réussi à protéger ses services, selon vous ?
Si la BDL a réellement été forcée de bloquer une partie de ses serveurs, je n’appellerai pas cela un succès… D’autant que si c’est la seconde hypothèse qui se confirme, à savoir la déconnexion des serveurs e-mails de la banque, cette action était complètement inutile ! Nous savons aujourd’hui que 99 % des ordinateurs infectés ne l’ont pas été via des e-mails. Le seul vecteur de propagation confirmé à ce jour est le système de partage de ressources sur des réseaux locaux avec des PC sous Windows, ce qu’on appelle le SMB. De fait, si la BDL avait voulu bloquer quelque chose, cela aurait dû être son accès Internet !
Dans le monde, peu de banques ont été affectées par le virus. Comment l’expliquez-vous ?
Une seule stratégie : la mise en place régulière des correctifs de sécurité. Grâce à cela, les principales banques d’investissements à l’image de JPMorgan, Bank of America, Credit Suisse, Barclays, HSBC, Morgan Stanley n’ont ainsi pas été impactées. La plupart d’entre elles ont utilisé le correctif fourni par Microsoft en mars dernier dès sa publication.
Selon vous, la protection des systèmes d’information est-elle suffisamment prise au sérieux par la Banque centrale ?
Non, hélas. Par le passé, j’ai assumé les fonctions de directeur du département de “cyberrecherche” d’Interpol. En tant qu’expert, j’ai souvent évoqué la nécessité d’une cyberprotection avec les autorités libanaises. Mais j’ai toujours été confronté à une forme de déni, faute, je crois, d’une réelle compréhension de ce que signifie protéger un système d’information. Le Liban, en la matière, manque de maturité : la sécurité est vue comme un “coût” et non comme une nécessité sur laquelle on ne saurait transiger.